发布日期：2000-07-18
更新日期：2000-07-18

受影响系统：

在IIS 3.0基础上升级的IIS 4.0/5.0
Microsoft IIS 3.0
   + Microsoft Windows NT 4.0 / 2000

描述：

---

Microsoft IIS 3.0 自带了一些HTR脚本，其中某个用来进行目录浏览的脚本运行时需要一个
变量来提供目录名，如果一个HTTP请求中这个变量的参数为空，将导致这个脚本陷入死循环状
态，导致系统资源耗尽,造成拒绝服务攻击。

<* 来源： Peter Grundl <peter.grundl@VIGILANTE.COM>
          http://www.vigilante.com
*>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

建议：

---

微软建议删除HTR脚本映射，除非必须需要它。
英文版的补丁可以在这里下载：

Internet Information Server 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22709
Internet Information Server 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22708



浏览次数：6010
严重程度：0（网友投票）